5.4 億條用戶記錄洩露，Facebook 真是不長記性

鬧的沸沸揚揚的“劍橋分析”（Cambridge Analytica）數據洩露醜聞才剛剛過去一年，Facebook 好像又在同一個地方跌倒了，小扎還真是不長心啊。

4月4日，網絡安全公司 UpGuard 的研究人員確認，AWS 的雲伺服器上又出現了一個不安全的數據庫，而它與 Facebook 可脫不了乾系。顯然，因為數據洩露醜聞被國會議員“圍攻”的祖克柏並沒有吸取教訓，Facebook 在確保用戶數據絕對安全方面有點不作為。

據 UpGuard 公司研究人員分析，這次被曝光的數據庫存有大量獨家用戶信息，但這些用戶信息連個“守門”的密碼都沒有。據悉，被曝光的數據庫有一部分是來自墨西哥數字媒體公司 Cultura Colectiva 的數據集，這裡公開存儲了約 5.4 億條 Facebook 用戶記錄，這些機密數據的容量高達 146 GB。

鑒於這個數據庫完全對外開放，因此任何人都能“到此一遊”並隨手下載相關數據，比如郵箱地址與登錄信息，而登錄信息這部分甚至直接囊括了密碼、账號、識別碼、用戶評論和互動，實在是太嚇人了。

彭博社給 Facebook 通報了這個數據集的存在後，社交巨頭馬上將其從 AWS 移除。Facebook 還一並“乾掉”了屬於 At the Pool 應用的另一個數據集，這裡存了大約 2.2 萬名 Facebook 用戶的 email 账號和密碼。

由於 Facebook“行動神速”，因此安全研究人員不知道到底這些數據庫洩露了多少“天機”。Facebook 發言人則宣稱，它們一收到消息就趕緊將這些數據庫下線。眼下，公司正在對這一事件進行調查，為的就是確認這些數據在 AWS 上到底“曝光”了多久。

Facebook 發言人還進一步確認稱，公司並不允許將用戶數據存儲在公共數據庫中，這是明顯的違規行為。不過，值得一提的是，上周 Facebook 才剛剛被抓住小辮子，它們不但將 6 億用戶的純文本密碼存在自家伺服器上，還給了超過 2 萬名雇員獲取這些密碼的權力。

當然，Facebook 總是被此類醜聞糾纏也是因為它們有向第三方開發者分享用戶數據的“傳統”。不過，這項“光榮傳統”最近才被曝光，面對各方抨擊，Facebook 也不得不對數據分享的行為下了禁止令。

除此之外，UpGuard 的研究人員還指出，這兩個被曝光的數據庫只是滄海一粟罷了，因為亞馬遜的 AWS 上可是駐留著 10 萬個伺服器呢，它們中肯定也有伺服器存在數據洩露問題。UpGuard 網絡風險研究主管 Chris Vickery 更是大聲疾呼，稱用戶數據急需得到尊重和保護。

Vickery 表示：“公眾還沒有意識到，這些高級系統管理員、開發人員以及數據保管人員並不是什麽守護天使，他們要麽冒險，要麽懶惰或偷工減料。此外，業界對大數據的安全問題也沒有沒有足夠的關注。”

Digital Guardian 公司雲服務安全架構師 Naaman Hart 則警告用戶，互聯網沒有免費午餐，即使是看似免費的社交媒體，比如 Facebook，而你付出的代價就是用戶數據。

“這就是你使用免費服務的‘買路財’，但你得想想這筆買賣到底值不值。雖然 Facebook 並非數據洩露的罪魁禍首，但它們漏洞百出的管理還是讓第三方公司能輕鬆拿到這些數據。從這點來看，Facebook 在保護用戶數據上沒有盡到應有義務，它們反而選擇助紂為虐。”Hart 解釋道。

Hart 還警告那些采集用戶數據並將其分享給第三方的公司要及時收手，因為歐盟的《通用數據保護條例》（GDPR）可是一直懸在頭上呢。

“在 GDPR 時代各家公司都必須意識到，只要它們采集用戶數據，就必須對其負責，無論是自己保存還是分享給第三方。也許未來有關該問題的訴訟會集中爆發，歐盟的罰款可不是鬧著玩的。在持續高壓下，出於公司聲譽和財務方面的考慮，Facebook 這樣的巨頭恐怕也得恪守嚴格的安全標準並監督好與自己做生意的其他公司。”Hart 補充道。

Via.Hackread

---

“喜歡就趕緊關注我們”

宅客『Letshome』

雷鋒網旗下業界報導公眾號。

專注先鋒科技領域，講述黑客背後的故事。

長按下圖二維碼並識別關注